Обнаружен новый вид программы-вымогателя, которая считается самой быстродействующей вредоносной программой для шифрования.
Исследователи Check Point Software сообщили сегодня, что штамм, получивший название Rorschach, поразил неназванную американскую компанию, использующую подписанный компонент Cortex XDR Dump Service Tool от Palo Alto Networks, версия 7.3.0.16740.
В отчете говорится, что программа-вымогатель Роршаха использует высокоэффективную и быструю схему гибридной криптографии, которая сочетает в себе алгоритмы шифра curve25519 и eSTREAM hc-128. «Этот процесс шифрует только определенную часть исходного содержимого файла, а не весь файл».
В тесте на сервере с шестью процессорами, 8192 МБ ОЗУ и 220 000 файлов на твердотельном жестком диске Роршаху потребовалось четыре минуты и 30 секунд для шифрования данных. Для сравнения, образец LockBit 3.0 занял семь минут.
Исследователи подозревают, что эта процедура гибридной криптографии была заимствована из просочившегося исходного кода программы-вымогателя Babuk. В отчете говорится, что создатели Rorschach также, похоже, были вдохновлены использованием LockBit 2.0 портов завершения ввода-вывода для планирования потоков.
«Роршах взял лучшее из семейств программ-вымогателей с самой высокой репутацией, а затем добавил несколько собственных уникальных особенностей», — заключают исследователи.
При первоначальном запуске на контроллере домена Windows (DC) программа-вымогатель автоматически создает групповую политику, распространяясь на другие машины в домене.
Сообщается, что аналогичная функциональность будет включена в LockBit 2.0, говорится в отчете, хотя развертывание Роршаха осуществляется по-другому. Rorschach копирует свои файлы в папку scripts контроллера домена и удаляет их из исходного местоположения. Затем он создает групповую политику, которая копирует себя в папку Windows. %Public% папка всех рабочих станций в домене. Программа-вымогатель создает еще одну групповую политику, пытаясь уничтожить список предопределенных процессов. Это делается путем создания запланированной задачи, вызывающей taskkill.exe. Наконец, Роршах создает третью групповую политику, которая регистрирует запланированную задачу, которая запускается немедленно и после входа пользователя в систему, которая запускает основной исполняемый файл Роршаха с соответствующими аргументами.
Роршах имеет ряд защит. Начальный загрузчик/инжектор, winutils.dll, защищен упаковкой в стиле UPX. Однако, как говорится в отчете, это изменено таким образом, что распаковка с помощью стандартных решений невозможна и требует ручной распаковки. После распаковки образец загружается и расшифровывается config.iniкоторый содержит логику программы-вымогателя.
После введения Роршаха в notepad.exe, он по-прежнему защищен VMProtect. Это приводит к виртуализации важной части кода в дополнение к отсутствию таблицы IAT. Только после преодоления обеих этих мер безопасности исследователи смогут правильно проанализировать логику программы-вымогателя.
Другой способ уклониться от обнаружения — сделать прямые системные вызовы с помощью инструкции «syscall». «Хотя ранее это наблюдалось в других штаммах вредоносных программ, довольно удивительно видеть это в программах-вымогателях», — говорится в отчете.
Перед шифрованием целевой системы образец запускает две проверки системы, чтобы подтвердить язык зараженного компьютера. Если возвращаемое значение обычно используется в странах Содружества Независимых Государств (СНГ), связанных с Россией, включая Россию и Украину, оно не будет выполняться.
«Наши результаты подчеркивают важность соблюдения строгих мер кибербезопасности для предотвращения атак программ-вымогателей, а также необходимость постоянного мониторинга и анализа новых образцов программ-вымогателей, чтобы опережать развивающиеся угрозы», — говорится в отчете. «Поскольку эти атаки становятся все более частыми и изощренными, организациям важно сохранять бдительность и проявлять инициативу в своих усилиях по защите от этих угроз».
